برسام چیست؟
اکنونکه سازمانها برای کاهش تهدیدات سایبری به استفاده از ابزارهای تخصصی روی آوردهاند، نفوذگران و تبهکاران سایبری کارمندان سازمانها را بهعنوان نقطه اولیه حمله در نظر گرفته و روی آنها متمرکزشدهاند. سوءاستفاده از خلأ دانش و کم آگاهی کاربر، سادهترین راه برای نفوذ به زیرساختهای فناوری اطلاعات سازمان است.
یعنی پرسنل به هدف اصلی تبهکاران سایبری تبدیلشدهاند و سوءاستفاده از نقاط ضعف انسانها مانند بیتوجهی، کم بودن دانش یا سهلانگاری بسیار سادهتر و ارزانتر از تلاش برای فریب دادن نرمافزارهای حفاظتی پیچیده است.
پس طبیعتاً بسیاری از سازمانها با در نظر گرفتن این مسائل، آموزشهای مربوط به تقویت و بهبود آگاهی امنیت سایبری را در اولویتهای اصلی خود قرار میدهند و برای ایجاد یک محیط شرکتی امنتر تلاش میکنند.
ولی آموزش این دانش غالباً کاری دشوار، خستهکننده و بیربط تلقی میشود. رویکرد کارکنان به اینگونه آموزشها معمولاً مثبت نیست؛ زیرا یا چنین آموزشهایی آنقدر پیچیده و فنی است که آموختن و بهکارگیری آنها دشوار است یا پرسنل در تشخیص ارتباط بین عملکرد خود و پیامدهای احتمالی و آموزشها، دچار خطا میشوند؛ و در برخی موارد این اقدامات را فقط وظیفه متخصصان فناوری اطلاعات سازمان میدانند که کارشان مراقبت از امنیت سایبری شرکت است و برای خودشان نقشی قائل نیستند.
اما برنامههای ما در برسام به معنای برنامه سازمانی آگاهی رسانی امنیت سایبری تنها ارائهدهنده دانش نیستند، بلکه مهمتر از آن، عادات را تغییر داده و الگوهای رفتاری جدیدی را شکل میدهند؛ زیرا هدف واقعی، آگاهی رسانی و بالابردن سطح آگاهی بهمنظور تغییر رفتار است.
چنین رویکردی رفتار کاربران را تغییر میدهد و به ایجاد یک محیط امن سایبری در سراسر سازمان کمک میکند.
چرا برسام؟
در فعالیت آگاهیرسانی، فراگیرنده اطلاعات را دریافت میکند. هدف آگاهیرسانی رساندن پیامی بهصورت گسترده و عام است و از روشهای مختلفی برای جذاب کردن پیام استفاده میکند.اما بحث «آموزش» رسمیت بیشتری دارد و هدف آن ایجاد دانش و مهارت بهمنظور بهتر به انجام رساندن یک کار و بالا بردن کارایی است. (مثلاً آگاهیرسانی در مورد ویروسها، خطرات آنها، نحوه مقابله با آنها و نحوه گزارش حملات ویروسی).پس برنامه آگاهیرسانی امنیتی، صرفاً یک برنامه آموزشی نیست. یک برنامه برای جلبتوجه کاربران به مقوله امنیت است. هدف آن آگاه ساختن کاربران نسبت به مخاطرات امنیتی و واکنش نسبت به آن است.جهت طراحی و تدوین برنامه و اتخاذ استراتژی مناسب به این روش عمل خواهد شد:
تعریف محدوده طرح (scope) و جامعه مخاطبان
تعیین وظایف و نقشهای ذینفعان (همه گروههایی که به نحوی در این پروژه دخیل بوده و یا در اثر اجرای آن تحت تأثیر قرار خواهند گرفت)
تعیین اهداف آموزش هر برنامه برای هر گروه از مخاطبان
تعیین روش مستندسازی و دریافت بازخوردها
تعیین اهداف موردنظر (از طریق بررسی گزارشهای حاصل از طرحهایی مانند ISMS)
تعیین اجباری یا اختیاری بودن مطالب برای هر گروه از جامعه مخاطب
تصمیمگیری در مورد روشهای اجرا
تجربیات مورد استفاده
اما بحث «آموزش» رسمیت بیشتری دارد و هدف آن ایجاد دانش و مهارت بهمنظور بهتر به انجام رساندن یک کار و بالا بردن کارایی است. (مثلاً آگاهیرسانی در مورد ویروسها، خطرات آنها، نحوه مقابله با آنها و نحوه گزارش حملات ویروسی)
پس برنامه آگاهیرسانی امنیتی، صرفاً یک برنامه آموزشی نیست. یک برنامه برای جلبتوجه کاربران به مقوله امنیت است. هدف آن آگاه ساختن کاربران نسبت به مخاطرات امنیتی و واکنش نسبت به آن است.جهت طراحی و تدوین برنامه و اتخاذ استراتژی مناسب به این روش عمل خواهد شد:
تعیین وظایف و نقشهای ذینفعان (همه گروههایی که به نحوی در این پروژه دخیل بوده و یا در اثر اجرای آن تحت تأثیر قرار خواهند گرفت)
تعیین اهداف موردنظر (از طریق بررسی گزارشهای حاصل از طرحهایی مانند ISMS)
تعیین اهداف آموزش هر برنامه برای هر گروه از مخاطبان
تعیین روش مستندسازی و دریافت بازخوردها
تعیین اجباری یا اختیاری بودن مطالب برای هر گروه از جامعه مخاطب
تصمیمگیری در مورد روشهای اجرا
چگونه اجرا میشود
تأکید بر اهمیت رمز عبور و مدیریت آن
پشتیبان گیری و بازیابی اطلاعات
حفاظت از سیستمهای همراه
نحوه حفاظت در مقابل بدافزارها یا هرزنامهها
سیاستهای کاری امنیتی در سازمان و نحوه حفظ و حراست از آنها
تعریف نرمافزارهای مجاز یا غیرمجاز در سازمان
نحوه وبگردی ایمن
استفاده مجاز یا غیرمجاز از اینترنت در سازمان
مجاز یا غیرمجاز بودن اتصال سیستمهای شخصی به سیستمهای سازمانی امنیت لپتاپها
حوه حفاظت فیزیکی از سیستمها
خطرات ایمیلهای ناشناخته
مهندسی اجتماعی
چگونه استفاده کنیم؟
برسام می تواند نیروی انسانی سازمان را با وظایفی که نسبت به امنیت فناوری اطلاعات دارند آشنا می کند و می تواند مکمل استاندارد ایزو ۲۷۰۰۱ باشد.
چرا استفاده کنیم
مهمترین چالش امنیتی سازمان ها،
آموزش نیروی انسانی در خصوص امنیت است برسام می تواند به خوبی به این نیاز پاسخ دهد.
تجربیات جهانی
اغلب سازمان ها، بانک ها، مراکز مهم مالی و شرکت های بزرگ برنامه آگاهی رسانی امنیتی را مورد اجرا گذاشته و در حال استفاده ازآن هستند که سابقه شروع برخی از آنها به سال ۲۰۰۶ میلادی بر می گردد.